Informe de protección digital de Microsoft de 2022
Información de billones de indicadores de seguridad diarios
Un punto de vista único
El objetivo del informe de protección digital de Microsoft, que se encuentra en su tercer año (anteriormente llamado informe de inteligencia de seguridad de Microsoft, con más de 22 informes archivados), es explicar el panorama de amenazas digitales en constante evolución en cuatro áreas clave: ciberdelincuencia, amenazas a naciones estado, dispositivos & infraestructura y operaciones de influencia cibernética, todo ello a la vez que proporciona información e instrucciones sobre cómo mejorar la resiliencia cibernética.
Microsoft sirve a miles de millones de clientes a nivel global, lo cual nos permite agregar datos de seguridad a partir de un amplio y diverso espectro de organizaciones y consumidores. Esto informe saca partida de la inteligencia de nuestro amplio abanico de indicadores en profundidad de la totalidad de Microsoft, en donde se incluye la nube, los puntos de conexión y la inteligencia perimetral. Esta exclusiva posición estratégica nos proporciona una visión de alta fidelidad sobre el panorama de amenazas y el estado actual de la ciberseguridad, donde se incluyen indicadores que nos ayudan a predecir qué harán a continuación los atacantes. Consideramos el uso compartido de información y la transparencia esenciales para ayudar a nuestros clientes a aumentar su resiliencia cibernética, además de proteger el ecosistema.
En este resumen de alto nivel del informe, obtendrá más información sobre el estado de la ciberdelincuencia, el alza de los dispositivos de Internet de las cosas (IoT) como objetivos populares, nuevas tácticas para ataques a naciones estado y el auge de los cibermercenarios, operaciones de influencia cibernética y, lo que es más importante, cómo mantener la resistencia en los tiempos que corren.
- 43 mil millones de señales sintetizadas al día mediante sofisticados algoritmos de inteligencia artificial y análisis de datos para comprender y ayudar a protegerse contra amenazas digitales y actividad cibernética delictiva
- Más de 8500 ingenieros, investigadores, científicos de datos, expertos en ciberseguridad, cazadores de amenazas, analistas geopolíticos, detectives y personal de primera línea a lo largo de 77 países
- Más de 15 000 asociados en nuestro ecosistema de seguridad, que aumentan la resiliencia cibernética para nuestros clientes.
La ciberdelincuencia sigue al alza debido al dramático aumento de ataques tanto aleatorios como dirigidos. Hemos observado amenazas cada vez más diversas en el panorama digital, con avances en los métodos de ciberataque y en la infraestructura delictiva que se han usado para agravar la guerra activa durante la invasión de Ucrania por parte de Rusia.
Los ataques de ransomware representan un mayor peligro para todas las personas a medida que la infraestructura crítica, los negocios de todos los tamaños y los gobiernos tanto estatales como locales son blanco de delincuentes que sacan provecho de un creciente ecosistema ciberdelictivo. A medida que los ataques de ransomware se han vuelto más atrevidos en su ámbito, sus efectos se han ido ampliando. Una labor sostenible y favorable contra esta amenaza requiere que se ejecute una estrategia que implique a todo el gobierno en estrecha asociación con el sector privado.
Tras analizar nuestra participación en respuesta y recuperación, hemos encontrado continuamente controles de identidad poco sólidos, operaciones de seguridad ineficaces y estrategias de protección de datos incompletas en las organizaciones afectadas.
Este año han aumentado significativamente los ataques indiscriminados de suplantación de identidad y robo de credenciales para obtener información que luego se vende y se utiliza en ataques dirigidos como el ransomware, la filtración y extorsión de datos y la vulneración de correo electrónico de categoría empresarial.
La ciberdelincuencia como servicio (CaaS) es una amenaza en constante crecimiento y evolución para los clientes de todo el mundo. La unidad de crímenes digitales de Microsoft (DCU) ha observado un crecimiento continuo del ecosistema de CaaS, con un número cada vez mayor de servicios online que facilitan los ciberdelitos, entre los que se incluyen la vulneración de correo electrónico de categoría empresarial (BEC) y el ransomware controlado por humanos. Los proveedores de CaaS ofrecen cada vez más a menudo credenciales en peligro para su venta, cada vez vemos más servicios y productos de CaaS con características mejoradas para evitar su detección.
Los atacantes están descubriendo nuevas formas de implementar técnicas y hospedar su propia infraestructura operativa, como aumentar la vulnerabilidad de las empresas frente a campañas de suplantación de identidad de hosts, malware, o utilizar su potencia de computación para realizar minería de criptomoneda. Los dispositivos de Internet de las cosas (IoT) son un objetivo cada vez más popular para los ciberdelincuentes que usan redes de robots (botnets) extendidas. Cuando no se instalan revisiones en los routers y se dejan expuestos directamente a Internet, los actores de amenaza pueden sacar provecho de ellos para obtener acceso a redes, ejecutar ataques malintencionados e incluso para mantener sus propias operaciones.
El hacktivismo tuvo un auge durante el año pasado, con ciudadanos privados dirigiendo ciberataques para respaldar sus objetivos sociales o políticos. Miles de individuos se movilizaron para lanzar ataques como parte de la guerra entre Rusia y Ucrania. Aunque todavía no se puede saber si esta tendencia continuará, el sector de la tecnología debe confluir para diseñar una respuesta integral a esta nueva amenaza.
La aceleración de la transformación digital ha aumentado los riesgos de ciberseguridad en infraestructura crítica y sistemas cibernéticos físicos. A medida que las organizaciones aprovechan los avances en capacidad de computación y las entidades se digitalizan para afianzar su éxito, la superficie expuesta a ataques del mundo digital aumenta exponencialmente.
La rápida adopción de soluciones de IoT ha aumentado el número de vectores de ataque y el riesgo de exposición de las organizaciones. Esta migración ha superado la capacidad de las organizaciones de mantener el ritmo a medida que el malware como servicio ha pasado a realizar operaciones a gran escala contra infraestructura civil y redes corporativas.
Hemos observado un mayor número de amenazas que afectan a dispositivos en la totalidad de la organización, desde ataques tradiciones a equipos de TI como controladoras de tecnología de operaciones (OT), además de sensores de IoT más sencillos. Hemos visto ataques contra redes eléctricas, ataques de ransomware que han interrumpido operaciones de OT, y routers de IoT a los que se ha sacado provecho para una mayor persistencia. Al mismo tiempo, los ataques se han dirigido cada vez más a vulnerabilidades en el firmware (software incorporado en el hardware o la placa de circuitos de un dispositivo) para lanzar ataques devastadores.
Para contrarrestar estas y otras amenazas, los gobiernos de todo el mundo están produciendo y desarrollando políticas para administrar los riesgos de ciberseguridad de las infraestructuras críticas. Muchos también establecen políticas para mejorar la seguridad de los dispositivos de IoT y OT. La ola global de iniciativas políticas en crecimiento genera grandes oportunidades para mejorar la ciberseguridad, pero también establece desafíos para las partes interesadas de todo el ecosistema. A medida que la actividad política en todas las regiones, tecnologías y áreas de administración de riesgos operativos se desarrolla de forma simultánea, existe la posibilidad de solapamiento e incoherencia en su ámbito, requisitos y complejidad. Las organizaciones de los sectores público y privado deben aprovechar la oportunidad de mejorar la ciberseguridad con una participación y labor adicionales en pos de la coherencia.
- El 68 % de los encuestados consideran que la adopción de IoT/OT es crucial para su transformación digital estratégica
- El 60 % reconocen que la seguridad de IoT/OT es uno de los aspectos menos seguros de su infraestructura
El año pasado, los grupos de ciberamenazas a naciones estado han pasado de explotar la cadena de suministro de software a explotar la cadena de suministro de servicios de TI, tomando como objetivo las soluciones en la nube y los proveedor de servicios administrados para alcanzar a los clientes derivados en los sectores gubernamental, político y con infraestructura crítica.
A medida que las organizaciones fortalecen sus posiciones de ciberseguridad, los actores a nivel nación estado han respondido sacando provecho de nuevas tácticas para realizar ataques y evitar su detección. La identificación y explotación de vulnerabilidades de día cero es una táctica clave en su empeño. El número de vulnerabilidades de día cero divulgadas públicamente durante el pasado año es comparable con las del año anterior, el más alto de la historia. Muchas organizaciones suponen que no es probable que resulten víctimas de ataques a vulnerabilidades de día cero si la administración de vulnerabilidades es una parte esencial de su seguridad de red. Sin embargo, la facilitación de estas vulnerabilidades está haciendo que aparezcan de forma cada vez más rápida. Las vulnerabilidades de día cero suelen ser descubiertas por otros actores y reutilizadas extensamente en un corto período de tiempo, lo cual pone en riesgo los sistemas sin revisiones.
Hemos observado un crecimiento en las operaciones de actores ofensivos contra el sector privado, o cibermercenarios, que desarrollan y venden herramientas, técnicas y servicios a clientes (habitualmente gobiernos) que es permiten invadir redes, ordenadores, teléfonos y dispositivos conectados a Internet. Aunque para los actores a nivel de nación estado se trata de activos valiosos, estas entidades a menudo ponen en peligro a disidentes, defensores de los derechos humanos, periodistas, defensores de la sociedad civil y otros ciudadanos privados. Estos cibermercenarios proporcionan capacidades avanzadas de “vigilancia como servicio” que muchas de las naciones estado no habrían podido desarrollar por sí mismas.
La democracia necesita información de confianza para desarrollarse. Un área clave en la que se centra Microsoft son las operaciones de influencia que las naciones estado desarrollan y perpetúan. Estas campañas erosionan la confianza, dividen a la población y amenazan los procesos democráticos.
En particular, hemos observado que ciertos regímenes autoritarios colaboran para contaminar el ecosistema de la información para su mutuo beneficio. Un ejemplo son las campañas que buscaban ocultar el origen del virus COVID-19. Desde el inicio de la pandemia, la propaganda rusa, iraní y china sobre el COVID-19 impulsó su cobertura para amplificar estas temáticas centrales.
Un aumento del 900 % año a año en la proliferación de deepfakes desde 2019
También estamos entrando en lo que predecimos que será una era dorada de la creación y manipulación de elementos multimedia con tecnología de IA, impulsadas por la proliferación de herramientas y servicios para la creación artificial de imágenes, vídeos, audio y texto sintéticos altamente realistas y la habilidad para diseminar rápidamente el contenido optimizado para públicos específicos. Una amenaza a más largo plazo e incluso más insidiosa sobre qué es lo que consideramos “verdad”, si llegamos al punto de no poder confiar en lo que vemos y oímos.
La naturaleza rápidamente cambiante del ecosistema de la información, en combinación con las operaciones de influencia a nivel nación estado (incluida la fusión de los ataques tradicionales con las operaciones de influencia y la interferencia en elecciones democráticas), requieren un enfoque que implique a toda la sociedad. Es necesario un aumento de la coordinación y el uso compartido de información en el gobierno, el sector privado y la sociedad civil para aumentar la transparencia de estas campañas de influencia y para exponer e interrumpir campañas.
Cada vez hay un mayor sentimiento de urgencia para responder al incremento en el nivel de las amenazas en el ecosistema digital. Las motivaciones geopolíticas de los actores de amenaza han demostrado que los estados han aumentado su escala de utilización de operaciones cibernéticas ofensivas para desestabilizar gobiernos y afectar a las operaciones de comercio global. A medida que estas amenazas aumentan y evolucionan, es crucial incorporar resiliencia cibernética en el tejido de la organización.
Como hemos visto, muchos ciberataques tienen éxito simplemente porque no se ha establecido un mantenimiento básico de la seguridad. Las normas mínimas que toda organización debe adoptar son:
- Verificar explícitamente: Garantice que los usuarios y dispositivos estén en buen estado antes de permitir el acceso a recursos.
- Usar el acceso con privilegios mínimos: Permita solo los privilegios que sean necesarios para el acceso a un recurso y ninguno más.
- Presumir que se producirá una vulneración: Presuma que los sistemas de defensa se han vulnerado y que los sistemas podrían estar en peligro. Esto implica una supervisión constante del entorno ante posibles ataques.
Utilizar un antimalware moderno
Implemente software que ayude a detectar ataques, los bloquee de forma automática y proporcione información sobre las operaciones de seguridad. Supervisar la información obtenida de los sistemas de detección de amenazas es esencial a la hora de responder a amenazas de manera oportuna.
Mantenerse al día
Los sistemas obsoletos o que carecen de sus últimas revisiones son una de las razones clave por las que muchas organizaciones son víctimas de ataques. Asegúrese de que todos los sistemas están actualizados, incluido su firmware, sistema operativo y aplicaciones.
Proteger datos
Estar al tanto de los datos más importantes, su ubicación y si están implementados los sistemas correctos es crucial para implementar la protección adecuada.
Fuente: Informe de protección digital de Microsoft, noviembre de 2022